Mitigating denial of service attacks in computer networks
No Thumbnail Available
URL
Journal Title
Journal ISSN
Volume Title
Doctoral thesis (article-based)
Checking the digitized thesis and permission for publishing
Instructions for the author
Instructions for the author
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.
Authors
Date
2006-06-05
Major/Subject
Network security
Tietoverkkoturvallisuus
Tietoverkkoturvallisuus
Mcode
Degree programme
Language
en
Pages
125, [81]
Series
TKK dissertations, 32
Abstract
This dissertation studies how to defend against denial of service (DoS) attacks in computer networks. As it is not possible to prevent these attacks, one must concentrate on mitigating them. A comprehensive approach for mitigating DoS attacks is presented here. This approach is based on understanding both attack and defense mechanisms, and selecting a cost-effective set of defenses using risk management. Defense mechanisms are, however, not available against all possible attack types. For example, organization-specific servers of the Domain Name System are typically not well-managed, and DoS attacks against these kinds of name servers can easily be successful. This dissertation describes and simulates a new defense mechanism for protecting these authoritative name servers. A new approach in implementing defenses is cross-layer security, in which information from different protocol layers is used in a coordinated fashion instead of separating layers strictly. Two cross-layer designs are presented here for mitigating range attacks in ad hoc networks. The range attack is a new DoS attack where an attacker modifies the transmission range of a wireless node periodically. This overloads an ad-hoc routing protocol. The simulation results indicate the usefulness of cross-layering in mitigating the range attack. Resilience of different ad-hoc routing protocols against the range attack is also analyzed here. According to the simulation results this resilience is situation dependent. Depending on the quality of service requirements of the primary application, different ad-hoc routing protocols are resistant against the range attack. Game theory is used here to study the selection of defense strategies. The analysis shows that it can be beneficial to use different defense strategies randomly, one at a time. The game theoretic approach points out a possibility for using meta-strategies where an attacker can force a victim to perceive the benefits and weaknesses of a defense mechanism in an unrealistic way. Evaluations of existing defense mechanisms are typically carried out under ideal conditions or relevant risks are completely ignored. This dissertation presents a taxonomy of criteria for evaluating defense mechanisms against DoS attacks. This taxonomy gives a list of issues to be considered during an evaluation process. The effectiveness of rate limiting is evaluated here with special attention paid to the damage on legitimate traffic.Tämä väitöskirja tutkii suojautumista tietokoneverkoissa tapahtuvilta palvelunestohyökkäyksiltä. Palvelunestohyökkäysten tavoitteena on joko estää palvelun käytettävyys siihen oikeutetuilta käyttäjiltä tai viivästää aikakriittisiä toimintoja. Palvelunestohyökkäykset tietokoneverkoissa perustuvat yleensä kohteen ylikuormittamiseen valtavalla määrällä tarpeetonta verkkoliikennettä. Toinen vaihtoehto palvelunestoon on väärinkäyttää ohjelmistoissa, protokollissa tai järjestelmissä olevia virheitä. Tässä työssä kuvataan ja analysoidaan uusia suojausmenetelmiä palvelunestohyökkäysten vaikutusten lieventämiseksi, tutkitaan vaihtoehtoisten suojausmenetelmien valintaan liittyviä tekijöitä ja esitetään uusi joukko kriteereitä suojausmenetelmien käyttökelpoisuuden arvioimiseksi. Palvelunestohyökkäyksiltä suojautumiselle esitetään tässä työssä kokonaisvaltainen lähestymistapa, joka korostaa sekä erilaisten hyökkäys- ja suojautumismenetelmien tuntemusta että kustannustehokkaan suojausmenetelmäjoukon valitsemista. Monia palvelunestohyökkäyksiä vastaan ei kuitenkaan ole saatavilla suojausmenetelmiä. Tässä työssä on kuvattu uusia menetelmiä suojata sekä Internetin nimipalvelua tulvintaan perustuvalta palvelunestohyökkäykseltä että langattomia ad hoc verkkoja uudelta signaalin kantaman vaihteluun perustuvalta hyökkäykseltä. Väitöskirja tuo esille eri suojausmenetelmien mahdollisen tilanneriippuvaisuuden. Yksittäisen suojausmenetelmän tehokkuus ja käyttökelpoisuus voi riippua verkossa käytettävien sovellusten vaatimuksista. Myös peliteoriaa sovelletaan vaihtoehtoisten suojautumisstrategioiden valintaan. Työssä esitetään joukko kriteereitä, jotka tulisi huomioida eri suojausmenetelmien käyttökelpoisuutta arvioitaessa. Arvioinnissa on huomioitava mm. väärien hälytysten aiheuttamia haittoja laillisille käyttäjille, suojausmenetelmistä aiheutuvia suorituskykyhaittoja ja mahdollisia väärinkäyttömahdollisuuksia. Lopuksi tässä työssä arvioidaan kaistanrajoituksen käyttökelpoisuutta tulvintaan perustuvien palvelunestohyökkäysten torjunnassa.Description
Keywords
network security, denial of service attacks, attack mechanisms, defense mechanisms, tietoverkkoturvallisuus, palvelunestohyökkäykset, hyökkäysmekanismit, suojausmekanismit
Other note
Parts
- Jarmo Mölsä, Mitigating denial of service attacks: A tutorial, Journal of Computer Security, vol. 13, no. 6, pp. 807-837, 2005. [article1.pdf] © 2005 IOS Press. By permission.
- Jarmo Mölsä, Mitigating DoS attacks against the DNS with dynamic TTL values, in Proceedings of the Ninth Nordic Workshop on Secure IT Systems, Espoo, Finland, Nov. 2004, pp. 118-124. [article2.pdf] © 2004 by author.
- Jarmo Mölsä, Cross-layer designs for mitigating range attacks in ad hoc networks, in Proceedings of the IASTED International Conference on Parallel and Distributed Computing and Networks, Innsbruck, Austria, Feb. 2006, pp. 64-69. [article3.pdf] © 2006 International Association of Science and Technology for Development (IASTED). By permission.
- Jarmo Mölsä, Increasing the DoS attack resiliency in military ad hoc networks, in Proceedings of the 2005 IEEE Military Communications Conference (MILCOM 2005), Atlantic City, New Jersey, USA, Oct. 2005. [article4.pdf] © 2005 IEEE. By permission.
- Jarmo Mölsä, A taxonomy of criteria for evaluating defence mechanisms against flooding DoS attacks, in Proceedings of the First European Conference on Computer Network Defence, Pontypridd, Wales, UK, Dec. 2005, pp. 13-22. [article5.pdf] © 2005 Springer Science+Business Media. By permission.
- Jarmo Mölsä, Effectiveness of rate-limiting in mitigating flooding DoS attacks, in Proceedings of the Third IASTED International Conference on Communications, Internet, and Information Technology, St. Thomas, US Virgin Islands, USA, Nov. 2004, pp. 155-160. [article6.pdf] © 2004 International Association of Science and Technology for Development (IASTED). By permission.
- Jorma Jormakka and Jarmo Mölsä, Modelling information warfare as a game, Journal of Information Warfare, vol. 4, no. 2, pp. 12-25, Sept. 2005. [article7.pdf] © 2005 by authors.